ファイブ アイズ加盟国のすべてのサイバーセキュリティおよび諜報機関が、ロシアの連邦保安局 (FSB) が運用するサイバー スパイ マルウェア Snake が使用するインフラストラクチャを停止しました。
Snake マルウェアの開発は 2003 年後半に「Uroburos」という名前で開始されましたが、インプラントの最初のバージョンは 2004 年初めまでに完成したようで、その直後にロシアの国家ハッカーがマルウェアを攻撃に展開しました。
このマルウェアは、悪名高いロシアのハッキング グループである FSB のセンター 16 内のユニットに関連付けられており、オペレーション MEDUSA と呼ばれる組織的な取り組みの後に妨害されました。
Snake ピアツーピア ボットネットに取り込まれたコンピューターの中に、FBI は NATO 加盟政府に属するデバイスも発見しました。
「司法省は、国際的なパートナーとともに、ロシア政府が20年近くにわたってサイバースパイ活動を行うために使用してきたマルウェアに感染したコンピューターのグローバルネットワークを解体しました。これには、NATO同盟国に対するものも含まれます。」
本日公開された裁判所の文書 ( 宣誓供述書と捜索令状) によると、米国政府は、ロシアのリャザンにある FSB 施設から Snake を使用するロシアの Turla ハッカーを監視しながら、約 20 年間、Snake と Snake にリンクされたマルウェア ツールを注意深く監視していました。
「FSB の最も洗練された長期的なサイバースパイ マルウェア インプラント」と呼ばれる Snake は、オペレーターが感染したデバイスにマルウェアをリモートでインストールし、機密文書や情報 (認証資格情報など) を盗み、永続性を維持し、これを使用するときに悪意のある活動を隠すことを可能にしました。 「秘密のピアツーピア ネットワーク」。
Five Eyes のサイバーセキュリティと諜報機関は、防御側がネットワーク上の Snake マルウェアを検出して削除するのに役立つ詳細を記載した共同勧告も発行しています。
自己破壊コマンドで無効化
FBI は、米国内のすべての感染したデバイスを削除しましたが、米国外では、当局は「地方当局と協力して、当局の国内でのスネーク感染の通知と修復ガイダンスの両方を提供しています」.
「法廷文書に記載されているように、FBI は Snake マルウェアと Snake ネットワークの分析を通じて、Snake 通信を解読および解読する機能を開発しました」と、米国司法省は述べています。
「スネーク ネットワークの監視とスネーク マルウェアの分析から収集した情報を使用して、FBI は PERSEUS という名前のツールを開発しました。このツールは、特定のコンピューター上のスネーク マルウェア インプラントとの通信セッションを確立し、スネーク インプラントに影響を与えずに自身を無効にするコマンドを発行します。ホスト コンピューターまたはコンピューター上の正当なアプリケーション。」
Snake マルウェアによって侵害された NATO と米国のデバイス間のネットワーク トラフィックを解読した後、FBI は、Turla オペレーターが国連および NATO の機密文書のように見えるものを盗もうとしてインプラントを使用したことも発見しました。
FBI が取得した捜査令状により、FBI は感染したデバイスにアクセスし、正規のアプリやファイルに影響を与えずにマルウェアを上書きし、侵害されたコンピューターで実行されているマルウェアを終了させることができました。
FBI は現在、Snake マルウェアを削除するためにリモート アクセスされたコンピューターのすべての所有者または運用者に通知し、Turla が感染したシステムに展開することが多いキーロガーを含む、攻撃者によって植え付けられた他の悪意のあるツールまたはマルウェアを削除する必要がある可能性があることを通知しています。
破壊されるまで、50 か国以上で検出された Snake マルウェア インフラストラクチャは、ロシアの FSB ハッカーによって使用され、政府のネットワーク、研究機関、ジャーナリストなど、さまざまなターゲットから機密データを収集して盗みました。 .
Turla ( WaterbugおよびVenomous Bearとしても追跡) は、少なくとも 1996 年以来、世界中の政府、大使館、および研究施設を標的とするサイバー スパイ活動を組織化してきました。
彼らは、 米国中央軍、 ペンタゴン、NASA 、いくつかの東ヨーロッパ外務省、 フィンランド外務省を標的とした攻撃の背後にいる容疑者です。
Comments